ARP的防御是一个工程！本文仅就三层交换机的角度，谈谈有些什么样的手段这增强ARP的防护。

1、三层设备上防止他人冒充网关（未验证）

对于三层设备，需要配置过滤源IP是网关的ARP报文的ACL规则，配置如下ACL规则：

acl number 5000

rule 0 deny 0806 ffff 24 64010105 ffffffff 40

rule0禁止S3526E的所有端口接收冒充网关的ARP报文，其中斜体部分64010105是网关IP地址100.1.1.5的16进制表示形式。

2、三层设备上防止冒充他人IP的arp攻击

作为网关的设备有可能会出现ARP错误表项，因此在网关设备上还需对仿冒他人IP的ARP攻击报文进行过滤。

2.1 在S3928上配置静态ARP，可以防止该现象：（已验证）

arp static 221.231.140.247 000f-3d81-45b4 1007 e1/0/22

2.2 除了可以配置静态ARP外，还可以配置IP+MAC+port绑定，比如在S3928端口 E1/0/22上做如下操作：（已验证）

   am user-bind mac-addr 001e-0bc5-5f4c ip-addr 221.231.140.247

   am user-bind mac-addr 0021-5acc-fc28 ip-addr 221.231.140.253

   am user-bind mac-addr 001e-0bc5-615c ip-addr 221.231.140.246

则IP为221.231.140.247，并且MAC为001e-0bc5-5f4c的ARP报文可以通过E1/0/22端口，仿冒其它设备的ARP报文则无法通过，从而不会出现错误ARP表项。并且，要想让E1/0/22端口下所有机器都能上网，则必须有多少个就要加多少个记录。

唯一有一个问题没有解决的是，如果一个网卡上绑定了多IP地址的，好像不能加多条记录来搞定。这样推广起来就有很大的难度。

另外，操作的最小单元是一个交换机端口，一旦绑定一条记录，其它暂时还没有绑定的都会断掉，MyGod！所以要速度！